Microsoft удалила 3000 электронных почтовых аккаунтов, связанных с северокорейскими IT-специалистами

Компания Microsoft заблокировала 3000 учетных записей Outlook и Hotmail, связанных с северокорейской схемой, в рамках которой граждане КНДР выдавали себя за удаленных сотрудников, используя фальшивыеdentличности.

Американские чиновники давно предупреждали, что Северная Корея использует незаконные доходы от взломов криптовалют, мошенничества и IT-операций для обхода международных санкций и поддержания своих военных программ. Сейчас власти принимают меры против того, что они называют глобальной преступной операцией, которая тайно перечисляет миллионы авторитарному режиму Ким Чен Ына.

Microsoft заблокировала 3000 почтовых аккаунтов, связанных с Северной Кореей

В ходе проверки международной схемы, используемой северокорейскими IT-специалистами, выдававшими себя за удаленных технических специалистов, компания Microsoft заблокировала более 3000 учетных записей электронной почты.

Действия Microsoft стали результатом скоординированной операции с участием Министерства юстиции США, ФБР и других федеральных ведомств. Вместе они начали ликвидацию сложного заговора, получившего кодовое название «Jasper Sleet» от отдела анализа угроз Microsoft. Эта операция использует в своих целях рынок труда фрилансеров и технологические компании по всему миру.

Эта операция не только обманывает работодателей, но, как полагают, напрямую финансирует северокорейскую программу создания ядерного оружия.

По данным группы анализа угроз Microsoft, в этой схеме участвуют подготовленные ИТ-специалисты из Корейской Народной Республики (КНДР), которые используют фальшивыеdentдля получения удаленной работы в иностранных компаниях, особенно в Соединенных Штатах.

Многие из этих работников обладают высокой квалификацией, и некоторые работодатели, сами того не осознавая, хвалят их как лучших специалистов.

«Это не хакеры, взламывающие системы, — заявили в Центре анализа угроз Microsoft (MSTIC). — Это квалифицированные разработчики, инженеры по обеспечению качества и специалисты по ИТ-поддержке, которые проходят собеседования, выполняют реальную работу и незаметны — за исключением одной важной детали: они работают на КНДР»

Во многих случаях сообщники, которые иногда являются гражданами США, облегчают доступ, сдавая в аренду своиdentданные или управляя тем, что власти называют «фермами ноутбуков»

«Фермы ноутбуков» — это физические места, куда отправляются и обслуживаются ноутбуки, выданные ничего не подозревающими работодателями. По меньшей мере 29 таких объектов были обысканы правоохранительными органами, и на ноутбуках было установлено программное обеспечение для удаленного доступа или они были физически перенаправлены в Китай или Россию.

Министерство юстиции недавно подробно изложило дело сотрудника маникюрного салона из Мэриленда, приговор которому будет вынесен в августе. Выяснилось, что мужчина одновременно занимал 13 должностей у северокорейских IT-специалистов, заработав почти 1 миллион долларов в виде удаленных выплат.

По оценкам Организации Объединенных Наций, программа привлечения IT-специалистов в Северную Корею приносит до 600 миллионов долларов в год. Эти доходы часто идут на поддержку киберпреступлений и ядерных амбиций страны.

Microsoft дает отпор с помощью искусственного интеллекта и инструментов обнаружения

В своем блоге на этой неделе Microsoft подробно рассказала о блокировке 3000 учетных записей электронной почты, в основном Outlook и Hotmail, которые использовались северокорейскими агентами.

«Помимо недавно заблокированных 3000 учетных записей электронной почты пользователей, в рамках наших усилий по пресечению деятельности злоумышленника и защите наших клиентов от этой угрозы, Microsoft продолжает блокировать персональные учетные записи по мере ихdentи tracиспользование злоумышленником искусственного интеллекта», — заявил Джереми Даллман, старший директор Центра анализа угроз Microsoft.

Компания Microsoft заметила, что северокорейские работники становятся все более изощренными. Теперь они используют инструменты искусственного интеллекта для исправленияmaticошибок в резюме и сопроводительных письмах, улучшения своих фотографий, чтобы выглядеть более профессионально или по-западному, а также используют технологию FaceSwap для наложения своих изображений на украденные документы,dentличность.

Некоторые даже экспериментируют с программами для изменения голоса, чтобы помочь посредникам успешно проходить собеседования от их имени. Хотя Microsoft пока не наблюдала использования комбинированных голосовых и видеодипфейков, созданных с помощью ИИ, в реальных собеседованиях, компания предупредила, что это может быть лишь вопросом времени.

«В случае успеха эта тактика позволит северокорейским IT-специалистам проходить собеседования напрямую, без необходимости полагаться на посредников», — заявили в Microsoft.

Эти усовершенствованные методы искусственного интеллекта позволяют агентам лучше маскировать свое происхождение, что затрудняет работодателямdentподозрительных признаков. Распространенные методы включают повторное использование имен, адресов электронной почты и шаблонов профилей на различных платформах для поиска работы, таких как LinkedIn, GitHub и фриланс-биржи.

Для обнаружения и противодействия подобным тактикам Microsoft внедрила собственное решение на основе машинного обучения, которое выявляет подозрительную активность с помощью так называемого анализа «невозможного путешествия во времени», включающего мониторинг входов в систему из географически неправдоподобных мест в узких временных рамках, например, доступ из США, за которым сразу следуют доступ из Китая или России.

Microsoft также укрепляет свои инструменты защитыdentданных и призывает компании внедрятьtronпротоколы аутентификации и системы обнаружения рисков в режиме реального времени. Технологическая компания сотрудничает с государственными учреждениями США для обмена информацией и разработки технических решений, которые могут быть применены во всей индустрии кибербезопасности.

Компания пообещала продолжать оказывать давление на постоянно меняющуюся угрозу. «Jasper Sleet постоянно меняет и совершенствует свои профили», — сказал Даллман. «Мы наблюдаем за тем, как они адаптируются, особенно с помощью ИИ, и работаем над тем, чтобы оставаться на шаг впереди»